新型钓鱼活动激增，Dropbox被大规模利用

发布时间：2025-12-07 20:10:02 作者：玩站小弟

Darktrace的最新研究表明，威胁行为者利用Dropbox的合法基础设施发起了一场新型的钓鱼活动，并成功绕过了多因素认证MFA）。这意味着利用合法的流行服务进行攻击的情况日益增多，以此诱使目标下载。

Darktrace的新型最新研究表明，威胁行为者利用Dropbox的钓鱼大规合法基础设施发起了一场新型的钓鱼活动，并成功绕过了多因素认证（MFA）。活动

这意味着利用合法的激增流行服务进行攻击的情况日益增多，以此诱使目标下载恶意软件，模利导致登录凭证泄露。新型

Darktrace威胁研究负责人汉娜·达利强调，钓鱼大规威胁行为者利用用户对特定服务的活动信任，通过模仿用户收到的激增正常电子邮件发起攻击的做法比较常见。亿华云但在新型钓鱼活动中，模利威胁行为者进一步利用合法的新型 Dropbox 云存储平台进行网络钓鱼攻击，这种做法相对新颖。钓鱼大规

威胁行为者利用Dropbox基础设施进行攻击

2024年1月25日，活动威胁行为者对Darktrace的激增一位客户发起了针对性攻击，该组织的模利软件即服务(SaaS)环境中的16名用户收到了一封来自“no-reply@dropbox[.]com”的邮件，这是Dropbox文件存储服务所使用的官方合法电子邮件地址。

电子邮件中包含了一个链接，此链接会引导用户前往一个存放在Dropbox上的免费模板PDF文件，而这个PDF文件的名称似乎是以该组织的一个合作伙伴来命名的。

PDF文件又包含一个指向新域名‘mmv-security[.]top’的可疑链接，此前，这个域名在客户的系统环境中从未出现过。

虽然这封电子邮件被Darktrace的电子邮件安全工具识别并拦截，但是，在1月29日，高防服务器一位用户收到了另一封来自官方的no-reply@dropbox[.]com邮箱地址的邮件，提醒他们打开之前共享的PDF文件。

尽管这条信息被自动归类到了用户的垃圾邮件文件夹，但该员工还是打开了这封令人怀疑的邮件，并且跟随链接查看了PDF文件。几天后，他们的内部设备连接到了恶意链接mmv-security[.]top。

这个链接引导至一个伪造的Microsoft 365登录页面，建站模板其目的是为了获取合法的SaaS账户持有者的登录凭证。

用户点击PDF文件中的链接后被引导至伪造的微软登录页面来源：Darktrace

威胁行为者成功绕过多因素认证（MFA）

1月31日，Darktrace观察到多个异常地点出现了几次可疑的SaaS登录行为，这些地点以前从未访问过该账户。紧接着在2月1日，又发现了与ExpressVPN相关的异常登录活动，这表明威胁行为者可能利用虚拟私人网络（VPN）来遮掩他们的真实位置。源码下载

研究人员指出，通过使用有效的令牌并满足必要的多因素认证（MFA）条件，威胁行为者往往能够避开

传统安全工具的侦测，因为这些工具将MFA视为万能的解决方案。

尽管威胁行为者使用合法凭据绕过了MFA ，但在识别到SaaS账户上的异常活动后，该组织的安全团队也会提高警惕。

Darley在接受Infosecurity采访时表示，这一事件表明，组织不能再把MFA作为防御网络攻击的服务器租用最后一道防线。因为MFA绕过作为威胁行为者常用的策略之一，在获取像SharePoint文件这类可被滥用的共享资源的访问权限方面已经取得了成功。

威胁行为者表现出持久性

在绕过多因素认证（MFA）后不久，Darktrace监测到另一起异常登录事件，威胁行为者使用HideMyAss VPN服务进入了SaaS账户。

这次，威胁行为者者在受损的Outlook账户中设立了一个新的邮件规则，该规则会自动将财务团队发送的邮件直接转移到“会话历史”文件夹。

研究人员表示，威胁行为者通过把他们的恶意邮件及其回复转移到不常查看的邮箱文件夹中，以此绕过侦测。

此外，威胁行为者还发送了标题为“合同错误”和“需要紧急审核”的跟进邮件。这表明威胁行为者正在使用被入侵的账户向财务团队发送更多恶意邮件，目的是在客户的SaaS环境中感染更多账户。

网络钓鱼攻击既有针对性又复杂

研究人员指出，与依赖基础设施相比，威胁行为者利用像Dropbox这样的合法第三方解决方案进行钓鱼攻击“相对简单”。

Darley评论道，这个研究案例凸显了威胁行为者在多层次的攻击方面变得越来越高明，他们通过Dropbox的一个官方‘不接受回复’地址（这类地址通常用于向客户发送通知或链接）发出这些电子邮件。而电子邮件中的链接表面上指向一个合法的Dropbox存储点，实际上存放的却是一个恶意文件。该文件被伪装成合作伙伴文档，使电子邮件看上去似乎是合法的。

生成式AI助攻黑客

Darley强调，生成式人工智能技术在帮助威胁行为者编写更精密的钓鱼邮件方面产生了巨大影响。

根据Darktrace在2023年发布的年终威胁报告，在2023年下半年观测到的钓鱼案例中，超过25%的邮件包含了1000个以上的字符，这在很大程度上归功于生成式AI的能力。

“这些邮件不再是仅含简短文本和可疑链接的‘单一载荷’邮件，而是经过精心编写、内容丰富的邮件。还有威胁行为者利用高级社交工程技术，潜入正在进行的对话中，冒充同事或熟人，尝试模仿通信的语调。”Darley解释到，“这些高度复杂的实例正是由生成式AI所赋能，它让威胁行为者有更多时间去策划大规模的攻击。”

Tag：

事实表明目前的SaaS安全策略还远远不够
云安全联盟研究高级技术总监Hillary Baron说，“我们希望更深入地了解SaaS应用程序中的数据泄露事件，以及企业如何构建他们的威胁预防和检测模型来保护他们的SaaS生态系
2025-12-07
全球多家银行遭遇安卓恶意软件攻击，幕后黑手为墨西哥黑客！
从2021年6月到2023年4月，墨西哥黑客一直在使用安卓恶意软件攻击全球金融机构的，特别是西班牙和智利的银行。安全研究员Pol Thill表示，攻击活动是由一个代号为Neo_Net的黑客发起的。Th
2025-12-07
阿里云数据安全治理实践
一、数据安全治理与法律法规下面和大家分享下数据安全治理与相关的法律法规。1、逐步完善的法律法规近年来，数据安全相关的法律法规正在逐步完善。相关立法之前普遍是以国家或者行业的推荐性标准的形式存在，我们所
2025-12-07
这个被禁售的黑客小工具，曾让苹果用户崩溃
你有没有遭遇过iPhone弹窗攻击？当你正开心地用手机看小说、新闻...忽然出现一个弹窗，提示“不是你的AirPods”。不用说，这又是谁打开了AirPods 耳机盖。对于这个问题，果粉们只能心里吐槽
2025-12-07
hvv在即，我们整理了 2024 年部分勒索漏洞清单
近些年，漏洞数量不断增加，各行业面临的安全挑战日益严峻，特别是在工业、新能源、金融、交通、国防、医疗等关键领域，众多数据泄露和勒索软件攻击事件明确显示出，利用安全漏洞已成为攻击者最频繁采用的手段之一。
2025-12-07
人工智能对网络安全的影响越来越大
如果问当前IT行业最热门的话题是什么，很少有人会回答除了人工智能(AI)之外的任何话题。在不到 12 个月的时间里，人工智能已经从一项只有 IT 专业人员才能理解的技术发展成为从小学生到作家、程序员和
2025-12-07